Security Hub CSPM の有効化 - AWSSecurity Hub
必要なアクセス許可を確認するSecurity Hub CSPM と Organizations との統合を有効にするSecurity Hub CSPM の手動での有効化次のステップ: 体制管理と統合

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM の有効化

Security Hub CSPM AWSを有効にするには、 AWS Organizationsと統合するか、手動で 2 つの方法があります。

マルチアカウントおよびマルチリージョン環境では、Organizations との統合を強くお勧めします。スタンドアロンアカウントをお持ちの場合は、Security Hub CSPM を手動で設定する必要があります。

必要なアクセス許可を確認する

Security Hub CSPM の機能を使用するには、Amazon Web Services (AWS) へのサインアップ後にSecurity Hub CSPM を有効化する必要があります。Security Hub CSPM を有効化にするには、まず Security Hub CSPM コンソールと API オペレーションへのアクセスを可能にするアクセス許可を設定する必要があります。これを行うAWSには、 AWS Identity and Access Management(IAM) を使用して というマネージドポリシーをAWS IAM ID AWSSecurityHubFullAccessにアタッチします。

Organizations 統合を通じて Security Hub CSPM を有効にして管理するには、 というAWS管理ポリシーもアタッチする必要がありますAWSSecurityHubOrganizationsAccess

詳細については、「AWSSecurity Hub の マネージドポリシー」を参照してください。

Security Hub CSPM と Organizations との統合を有効にする

で Security Hub CSPM の使用を開始するにはAWS Organizations、組織のAWS Organizations管理アカウントが、組織の委任 Security Hub CSPM 管理者アカウントとしてアカウントを指定します。Security Hub CSPM は、現在のリージョンの委任管理者アカウントで自動的に有効になります。

ご希望の方法を選択し、手順に従って委任管理者を指定します。

Security Hub CSPM console
オンボーディング時に Security Hub CSPM 委任管理者を指定するには

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. [Security Hub CSPM に移動] を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

  3. [委任された管理者アカウント] セクションの [委任された管理者を指定] ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

  4. [委任された管理者を設定] を選択します。

Security Hub CSPM API

Organizations 管理アカウントから EnableOrganizationAdminAccount API を呼び出します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

AWS CLI

Organizations 管理アカウントから enable-organization-admin-account コマンドを実行します。Security Hub CSPM の委任管理者アカウントの AWS アカウント ID を指定します。

コマンドの例:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Organizations との統合の詳細については、「Security Hub CSPM と AWS Organizations の統合」を参照してください。

中央設定

Security Hub CSPM と Organizations を統合することで、中央設定と呼ばれる機能を使用して組織の Security Hub CSPM を設定および管理できます。管理者が組織のセキュリティ範囲をカスタマイズできるため、中央設定を使用することを強くお勧めします。必要に応じて、委任管理者はメンバーアカウントによる独自のセキュリティカバレッジの設定を許可できます。

中央設定により、委任管理者は複数のアカウント、OU、および AWS リージョン に対して Security Hub CSPM を設定できます。委任管理者は、設定ポリシーを作成して Security Hub CSPM を設定します。設定ポリシー内では、以下の設定を指定できます。

  • Security Hub CSPM を有効にするか無効にするか

  • どのセキュリティ標準を有効または無効にするか

  • どのセキュリティコントロールを有効または無効にするか

  • コントロール選択用のパラメータをカスタマイズするかどうか

委任管理者は、組織全体を対象とする単一の設定ポリシーを作成することも、さまざまなアカウントや OU に異なる設定ポリシーを作成することもできます。例えば、テストアカウントと本稼働アカウントでは異なる設定ポリシーを使用できます。

設定ポリシーを使用するメンバーアカウントと OU は一元管理され、委任管理者のみが設定を行うことができます。委任管理者は、特定のメンバーアカウントと OU をセルフマネージド型 として指定し、メンバー自身がリージョン単位で独自の設定を行えるようにすることができます。

中央設定を使用しない場合は、原則的に各アカウントとリージョンについて個別に Security Hub を設定する必要があります。これはローカル設定と呼ばれます。ローカル設定の場合、委任管理者は、現在のリージョンの新しい組織アカウントで、Security Hub CSPM および限定された一連のセキュリティ標準を自動的に有効にできます。ローカル設定は、既存の組織アカウントや、現在のリージョン以外のリージョンには適用されません。また、ローカル設定では設定ポリシーの使用もサポートされていません。

Security Hub CSPM の手動での有効化

スタンドアロンアカウントがある場合、または と統合していない場合は、Security Hub CSPM を手動で有効にする必要がありますAWS Organizations。スタンドアロンアカウントは と統合できずAWS Organizations、手動有効化を使用する必要があります。

Security Hub CSPM を手動で有効にする場合は、Security Hub CSPM 管理者アカウントを指定し、他のアカウントを招待してメンバーアカウントにします。管理者とメンバーの関係は、メンバーアカウント候補が招待を受け入れたときに確立されます。

ご希望の方法を選択し、手順に従って Security Hub CSPM を有効にします。コンソールから Security Hub CSPM を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションも提供されています。

Security Hub CSPM console

  1. https://console.aws.amazon.com/securityhub/ で AWSSecurity Hub CSPM コンソールを開きます。

  2. Security Hub CSPM コンソールを初めて開く場合は、[Security Hub CSPM に移動] を選択します。

  3. ウェルカムページには、Security Hub CSPM でサポートするセキュリティ標準が [セキュリティ標準] セクションに一覧表示されます。

    基準のチェックボックスを選択して有効にします。チェックボックスをオフにすると無効になります。

    標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準の管理の詳細については、「Security Hub CSPM のセキュリティ標準を理解する」を参照してください。

  4. [Enable Security Hub] (Security Hub の有効化) を選択します。

Security Hub CSPM API

EnableSecurityHub API を呼び出します。API から Security Hub CSPM を有効にすると、以下のデフォルトのセキュリティ標準が自動的に有効になります。

  • AWS基本的なセキュリティのベストプラクティス

  • Center for Internet Security (CIS)AWSFoundations Benchmark v1.2.0

これらの標準を有効にしない場合は、EnableDefaultStandardsfalse に設定します。

また Tags パラメータを使用して、ハブリソースにタグ値を割り当てることもできます。

AWS CLI

enable-security-hub コマンドを実行します。デフォルトの標準を有効にするには、--enable-default-standards を含めます。デフォルトの標準を有効にしない場合は、--no-enable-default-standards を含めます。デフォルトのセキュリティ基準は次のとおりです。

  • AWS基本的なセキュリティのベストプラクティス

  • Center for Internet Security (CIS)AWSFoundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

マルチアカウント有効化スクリプト

注記

このスクリプトの代わりに、中央設定を使用して複数のアカウントとリージョンに対して Security Hub CSPM を有効にして設定することをお勧めします。

GitHub の Security Hub CSPM マルチアカウント有効化スクリプトでは、複数のアカウントやリージョンに対して Security Hub CSPM を有効化することができます。スクリプトを使用することで、メンバーアカウントへの招待の送信と AWS Config の有効化のプロセスも自動化されます。

このスクリプトは、すべてのリージョンで、グローバルAWS Configリソースを含むすべてのリソースのリソース記録を自動的に有効にします。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。コストを削減するには、グローバルリソースを 1 つのリージョンにのみ記録することを推奨しています。中央設定またはクロスリージョン集約を使用する場合、このリージョンはホームリージョンである必要があります。詳細については、「AWS Config でのリソースの記録」を参照してください。

上記に対応するスクリプトとして、複数のアカウントとリージョンで Security Hub CSPM を無効にするスクリプトがあります。

次のステップ: 体制管理と統合

Security Hub CSPM を有効にしたら、セキュリティ標準とコントロールを有効にしてセキュリティ体制をモニタリングすることをお勧めします。コントロールを有効にすると、Security Hub CSPM はセキュリティチェックの実行と、AWS環境の設定ミスの検出に役立つコントロール結果の生成を開始します。コントロールの検出結果を受け取るには、Security Hub CSPM AWS Configの を有効にして設定する必要があります。詳細については、「Security Hub CSPM の AWS Config の有効化と設定」を参照してください。

Security Hub CSPM を有効にした後、Security Hub CSPM と他の AWS のサービスおよびサードパーティーソリューションとの統合を活用して、Security Hub CSPM で検出結果を確認することもできます。Security Hub CSPM は、さまざまなソースからの検出結果を集約し、一貫した形式で取り込みます。詳細については、「Security Hub CSPM 統合について」を参照してください。